merikbest ecommerce-spring-reactjs File Upload Endpoint /api/v1/admin/ filename डायरेक्टरी ट्रॅव्हल्सल

CVSS मेटा टेम्प स्कोअरसध्याची शोषक किंमत (≈)सीटीआई इंटरेस्ट स्कोअर
6.0$0-$5k0.12

सारांशमाहिती:

एक असुरक्षितता जी गंभीर म्हणून वर्गीकृत आहे, ती merikbest ecommerce-spring-reactjs जोपर्यंत 464e610bb11cc2619cf6ce8212ccc2d1fd4277fd मध्ये आढळली आहे. प्रभावित आहे अज्ञात फंक्शन फाइल /api/v1/admin/ च्या घटक File Upload Endpoint च्या. सॉफ्टवेअरमध्ये filename या आर्ग्युमेंटमध्ये केलेली प्रक्रिया डायरेक्टरी ट्रॅव्हल्सल ला कारणीभूत ठरते. ही त्रुटी CVE-2025-4868 म्हणून वर्गीकृत केली आहे. हल्ला दूरस्थपणे सुरू करणे शक्य आहे. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे. हा उत्पादन सतत वितरणासाठी रोलिंग रिलीज वापरत आहे. त्यामुळे प्रभावित किंवा अद्ययावत रिलीजसाठी कोणतीही आवृत्ती तपशील उपलब्ध नाहीत. If you want to get best quality of vulnerability data, you may have to visit VulDB.

तपशीलमाहिती:

एक असुरक्षितता जी गंभीर म्हणून वर्गीकृत आहे, ती merikbest ecommerce-spring-reactjs जोपर्यंत 464e610bb11cc2619cf6ce8212ccc2d1fd4277fd मध्ये आढळली आहे. प्रभावित आहे अज्ञात फंक्शन फाइल /api/v1/admin/ च्या घटक File Upload Endpoint च्या. सॉफ्टवेअरमध्ये filename या आर्ग्युमेंटमध्ये केलेली प्रक्रिया डायरेक्टरी ट्रॅव्हल्सल ला कारणीभूत ठरते. CWE वापरून समस्या घोषित केल्याने CWE-22 कडे नेले जाते. कमजोरी प्रकाशित करण्यात आली होती. सल्ला डाउनलोडसाठी github.com येथे शेअर केला आहे.

ही त्रुटी CVE-2025-4868 म्हणून वर्गीकृत केली आहे. हल्ला दूरस्थपणे सुरू करणे शक्य आहे. तांत्रिक तपशील उपलब्ध आहेत. ही असुरक्षितता सामान्यपेक्षा कमी लोकप्रिय आहे. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे. शोषण सार्वजनिकपणे उघड झाले आहे आणि वापरले जाऊ शकते. सध्याच्या घडीला अंदाजे USD $0-$5k असू शकतो. MITRE ATT&CK प्रकल्पाने हल्ल्याची तंत्रज्ञान T1006 म्हणून घोषित केली आहे.

हे प्रूफ-ऑफ-कॉन्सेप्ट म्हणून घोषित केले आहे. शोषण डाउनलोड करण्यासाठी github.com येथे उपलब्ध आहे.

हा उत्पादन सतत वितरणासाठी रोलिंग रिलीज वापरत आहे. त्यामुळे प्रभावित किंवा अद्ययावत रिलीजसाठी कोणतीही आवृत्ती तपशील उपलब्ध नाहीत.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

उत्पादनमाहिती:

प्रकार

विक्रेता

नाम

आवृत्ती:

CPE 2.3माहिती:

CPE 2.2माहिती:

CVSSv4माहिती:

VulDB सदिश: 🔒
VulDB विश्वसनीयता:: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA सदिश: 🔒

CVSSv3माहिती:

VulDB मेटा बेस स्कोअर: 6.3
VulDB मेटा टेम्प स्कोअर: 6.0

VulDB बेस स्कोअर: 6.3
VulDB टेम्प स्कोअर: 5.7
VulDB सदिश: 🔒
VulDB विश्वसनीयता:: 🔍

CNA बेस स्कोअर: 6.3
CNA सदिश: 🔒

CVSSv2माहिती:

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशसंमिश्रताप्रमाणीकरणगोपनीयता[संपादन]।सचोटीउपलब्धता
अनलॉक कराअनलॉक कराअनलॉक कराअनलॉक कराअनलॉक कराअनलॉक करा
अनलॉक कराअनलॉक कराअनलॉक कराअनलॉक कराअनलॉक कराअनलॉक करा
अनलॉक कराअनलॉक कराअनलॉक कराअनलॉक कराअनलॉक कराअनलॉक करा

VulDB बेस स्कोअर: 🔒
VulDB टेम्प स्कोअर: 🔒
VulDB विश्वसनीयता:: 🔍

शोषण करणे:माहिती:

वर्ग: डायरेक्टरी ट्रॅव्हल्सल
CWE: CWE-22
CAPEC: 🔒
ATT&CK: 🔒

शारीरिक: नाही
स्थानिक: नाही
रिमोट: हो

उपलब्धता: 🔒
प्रवेश करा: सार्वजनिक
स्थान: प्रूफ-ऑफ-कॉन्सेप्ट
डाउनलोड करा: 🔒

EPSS Score: 🔒
EPSS Percentile: 🔒

किंमत ीचा अंदाज: 🔍
सध्याच्या किमतीचा अंदाज: 🔒

0-Dayअनलॉक कराअनलॉक कराअनलॉक कराअनलॉक करा
आजअनलॉक कराअनलॉक कराअनलॉक कराअनलॉक करा

थ्रेट इंटेलिजन्समाहिती:

व्याज: 🔍
सक्रिय अभिनेते: 🔍
सक्रिय एपीटी गट: 🔍

प्रतिकारात्मक उपाय योजनामाहिती:

शिफारस केली आहे: कोणतेही शमन माहित नाही
स्थान: 🔍

0 दिवसांचा वेळ: 🔒

टाइमलाइनमाहिती:

16/05/2025 सल्लागाराने खुलासा केला
16/05/2025 +0 दिवस VulDB Entry निर्माण
18/05/2025 +2 दिवस VulDB Entry शेवटचे अपडेट

स्त्रोतमाहिती:

सल्लागार: github.com
स्थान: परिभाषित केलेले नाही

CVE: CVE-2025-4868 (🔒)
GCVE (CVE): GCVE-0-2025-4868
GCVE (VulDB): GCVE-100-309410
scip Labs: https://www.scip.ch/en/?labs.20161013

प्रवेशमाहिती:

तयार केली: 16/05/2025 09:23 PM
अद्ययावत: 18/05/2025 05:20 PM
बदल: 16/05/2025 09:23 PM (58), 18/05/2025 05:20 PM (30)
संपूर्ण: 🔍
Submitter: ShenxiuSecurity
Cache ID: 253:CAA:103

प्रस्तुत करामाहिती:

मान्य केले

चर्चा

अद्याप कोणतीही प्रतिक्रिया नाही. भाषा: mr + en.

कृपया टिप्पणी करण्यासाठी लॉग इन करा.

मागील बाजूससिंहावलोकनपुढील

Interested in the pricing of exploits?

See the underground prices here!